.
O Google reverteu esta semana uma revisão de um de seus formatos de arquivo relacionados à segurança depois que a transição quebrou os aplicativos Android.
Em novembro de 2021, o Google anunciou alterações no formato de seu arquivo de lista de registros de Transparência de certificados do Chrome e, em agosto de 2022, notificou os desenvolvedores cujos aplicativos podem ser afetados de que pararia de publicar arquivos de lista de registros herdados em 17 de outubro de 2022.
A registro de transparência de certificado é um registro público somente anexado de certificados de segurança recém-emitidos, confiáveis para coisas como criptografia HTTPS. O objetivo geral disso é permitir que organizações e internautas monitorem e auditoria esses certificados mais recentes e detectar e invalidar certificados não autorizados ou emitidos incorretamente que possam ser usados para, por exemplo, representar serviços e desenvolvedores de software. Google aspira esses logs de autoridades de certificação e publica esse registro consolidado como o log de Transparência de certificado do Chrome.
A gigante da Internet esperava mudar para a versão 3 desse formato de arquivo de log e descartar a versão 2, embora isso não tenha ocorrido conforme o planejado.
“Se houver ferramentas ou outras dependências que ainda dependem dessas versões mais antigas, encorajamos os mantenedores a migrar para a lista v3 antes desta data”, disse. avisou Devon O’Brien, engenheiro de segurança do Chrome, em um grupo de discussão sobre transparência de certificados.
Mas nem todos receberam o memorando. E quando o prazo chegou na quarta-feira, 15 de fevereiro de 2023, os aplicativos que dependiam do log do Chrome e não esperavam o novo formato quebraram. O Google, apesar de atrasar a remoção dos arquivos de lista de log no formato v2, se esforçou para desfazer as alterações.
Alterações
Google mudou o esquema do arquivo CT Log List que distribui, alterando o conjunto de chaves e valores no arquivo JSON. Aplicativos esperando v2 deste arquivo, portanto, precisava ser revisado para lidar com o versão 3 formato de dados.
Google parou de publicar v1 em outubro e depois no mês seguinte ofereceu um plano de transição por meio do qual os dados v3 podem ser obtidos do endpoint v2 até 15 de fevereiro.
Uma justificativa para isso era uma biblioteca de terceiros para Android e JVM (com.appmattus.certificatetransparency) que permaneceram despreparados para a transição para o esquema v3.
“Temos monitorado de perto a situação na biblioteca de terceiros”, explicou o engenheiro de software do Google, Roger Ng, em uma postagem ao grupo de discussão.
A situação com a biblioteca, mantida principalmente por um único desenvolvedor baseado no Reino Unido, é que um pedido de puxar enviado em setembro de 2022, para migrar a dependência do arquivo de log de v2 para v3, estava definhando sem mesclagem – a correção nunca foi aplicada. Aqueles que usam a biblioteca viram o prazo se aproximando e pediram que a mudança fosse aceita e incorporada à base de código.
Mas sem sucesso. A biblioteca não foi corrigida até 15 de fevereiro, quando o Google parou de fornecer os dados da lista de log v2. E os aplicativos quebraram.
Em uma mensagem intitulado “URGENTE: SDK de produção com cauda longa usa API v2”, um desenvolvedor identificado como Udi Ben Senior disse que sua empresa tem um SDK – possivelmente Este – que usa bibliotecas de terceiros vinculadas à versão 2 do esquema de arquivo de lista de logs.
“Como fornecemos um SDK, há uma longa fila de clientes para atualizar seus aplicativos com uma nova biblioteca CT, assim que ela for lançada”, escreveu ele. “Este problema nos surpreendeu, peço gentilmente para ressuscitar a API V2 por mais 90 dias, isso é extremamente urgente, pois temos milhões de usuários que atualmente não podem usar nosso SDK.”
Todos os nossos aplicativos estão fora do mercado e o impacto da perda de negócios é enorme para nós
Outro fabricante de software, Saumya Singh Rathore, co-fundador da WinZO Games – uma grande empresa de jogos na Índia – fez um pedido semelhante porque “todos os nossos aplicativos estão fora do mercado e o impacto da perda de negócios é enorme para nós”.
Em uma postagem subsequenteela atribuiu o problema à biblioteca de transparência de certificados appmattus.
“O impacto em nossos negócios é enorme”, escreveu Rathore. “Temos distribuição off-the-deck/playstore por meio de nosso site www.winzogames.com. Temos 100 milhões de usuários registrados e essa transição exigiria que lançássemos uma nova atualização de APK/force. Como você deve saber, há um funil significativo queda. Nosso negócio somente de aplicativos está fora do ar nas últimas 2 horas e estamos perdendo um tráfego significativo a cada segundo.”
Chefe do Core-JS reclama que código aberto está quebrado, ninguém vai pagar por isso
Joel Oughton-Estruch, gerente de engenharia da fabricante de aplicativos financeiros TrueLayer, também enviou um apelo para uma reversão do Google: “Perdemos este anúncio e essa alteração causou falhas de SSL em todos os nossos aplicativos Android em dispositivos de usuários finais.”
Diante desses pedidos e outrosequipe de transparência de certificados do Google iniciou uma reversão. Uma nova data para a remoção da lista de arquivos de log CT versão 2 ainda não foi definida.
Enquanto isso, um desenvolvedor expressou interesse em bifurcando a biblioteca appmattus.
Bem-vindo à cadeia de fornecimento de software de código aberto. ®
.
